norbi10000 Opublikowano 9 Października 2012 Zgłoś Udostępnij Opublikowano 9 Października 2012 WitamJestem tu nowy i troche niedoświadczony a mój problem to zainstalował mi sie ukash.najpierw użyłem combofix potem poprawiłem ccleaner lecz nic to nie pomogło.w trybie awaryjnym z połączeniem internetowym nie moge zalogować sie na swoje konto norbiimarzena bo zaraz blokuje mi ukash.wchodze na konto administratora i jest ok lecz wszystkie zrobione operacje nie działają na tego ukasha.przeskanowałem programem otl i jeżeli mógł by mi pomóc to udostępniam raporty.Prosze o pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 9 Października 2012 Zgłoś Udostępnij Opublikowano 9 Października 2012 Ukash zablokował mi komputer oraz stworzył konto administratora Nie, konto Administrator jest prawidłowym kontem wbudowanym w system, obecnym na każdym XP. Domyślnie, jeśli istnienie choć jedno normalne konto użytkownika, konto Administrator nie jest widoczne na liście logowania w Trybie normalnym i ujawnia się tylko w Trybie awaryjnym. w trybie awaryjnym z połączeniem internetowym nie moge zalogować sie na swoje konto norbiimarzena bo zaraz blokuje mi ukash.wchodze na konto administratora i jest ok lecz wszystkie zrobione operacje nie działają I właśnie, logi zrobione z poziomu nieprawidłowego konta, czyli owego wbudowanego w system Administratora a nie konta użytkownika: Computer Name: NORBI-IYVZXZI2M | User Name: Administrator | Logged in as Administrator. Konta mają zupełnie inne rejestry i foldery, a jeśli infekcja działa po stronie tylko jednego konta, jest niewidzialna z poziomu innych kont. Logi z OTL tu dostarczone bezużyteczne, nie pokazują infekcji. Proszę zastartować do Trybu awaryjnego z obsługą Wiersza poleceń, zalogować się na właściwe konto, z linii komend uruchomić OTL w celu stworzenia nowych logów. . Odnośnik do komentarza
norbi10000 Opublikowano 10 Października 2012 Autor Zgłoś Udostępnij Opublikowano 10 Października 2012 Witam.Zrobiłem tak jak pani kazała oto logi . Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Października 2012 Zgłoś Udostępnij Opublikowano 10 Października 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\norbi i mrzena\Dane aplikacji\msconfig.dat C:\Documents and Settings\norbi i mrzena\Dane aplikacji\msconfig.ini C:\Documents and Settings\All Users\Dane aplikacji\1FE7184FD1F265D100A11FE677CFCBA2 C:\Recycle.Bin C:\Documents and Settings\norbi i mrzena\Dane aplikacji\Mozilla\Firefox\Profiles\1ierm8am.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} C:\Documents and Settings\norbi i mrzena\Dane aplikacji\Mozilla\Firefox\Profiles\1ierm8am.default\extensions\ffxtlbr@babylon.com C:\Documents and Settings\norbi i mrzena\Dane aplikacji\Mozilla\Firefox\Profiles\1ierm8am.default\searchplugins\MyStart Search.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "4Y3Y0C3AUF7XWE6VBZZTLQZ"=- "hunizeakezif"=- "zb3fuz47"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyServer"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{08C06D61-F1F3-4799-86F8-BE1A89362C85}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Services catchme A2DDA 1a94389d74f50f1d 10d8f9496b39cf96 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, blokada zniknie i już następne operacje prowadź z poziomu Trybu normalnego Windows: 2. Usuń adware: - Przez Panel sterowania odinstaluj AVG Security Toolbar. - Otwórz Google Chrome i w zarządzaniu wyszukiwarkami przestaw domyślną z Search the web (Babylon) na Google, po tym Search the web (Babylon) usuń z listy. - Zresetuj plik preferencji Firefox. Zamknij przeglądarkę (nie może być uruchomiona) i na Pulpit przenieś poniższy plik: C:\Documents and Settings\norbi i mrzena\Dane aplikacji\Mozilla\Firefox\Profiles\1ierm8am.default\prefs.js 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3. . Odnośnik do komentarza
norbi10000 Opublikowano 10 Października 2012 Autor Zgłoś Udostępnij Opublikowano 10 Października 2012 Witam.Jestem pod wrażeniem profesionalizmu i uzyskanej pomocy.Picasso wielkie dzięki.Wirus ustąpił odnośnie babylon nie moge tego usunąć poniewaz kiedyś już próbowałem i troche namieszałem.Podaje wyniki skanów .Jeszcze raz wielkie dzięki. AdwCleanerR1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Października 2012 Zgłoś Udostępnij Opublikowano 10 Października 2012 (edytowane) Podałeś mi niewłaściwy log z AdwCleaner. Mi chodzi o log z wynikami usuwania, czyli C:\AdwCleaner[s1].txt. Podmień w poście powyżej załączniki. odnośnie babylon nie moge tego usunąć poniewaz kiedyś już próbowałem i troche namieszałem Tu chodziło tylko o zmianę domyślnej wyszukiwarki Babylon w opcjach Google Chrome. Była to bardzo prosta operacja, która nic nie powinna uszkodzić. Niemniej w aktualnym logu OTL nie widzę już tego, domyślną wyszukiwarką jest Google, co wskazuje na jedno z dwóch: albo sam to ustawiłeś, albo zrobił to AdwCleaner. Natomiast w Google Chrome jest nadal wtyczka Babylon i to jest cięższe do edycji: CHR - plugin: Babylon ToolBar (Enabled) = C:\Documents and Settings\norbi i mrzena\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.7_0\BabylonChromeToolBar.dll Następnie, nie wygląda na to że wykonałeś to: - Zresetuj plik preferencji Firefox. Zamknij przeglądarkę (nie może być uruchomiona) i na Pulpit przenieś poniższy plik: C:\Documents and Settings\norbi i mrzena\Dane aplikacji\Mozilla\Firefox\Profiles\1ierm8am.default\prefs.js Firefox nadal zabrudzony adware, a na Pulpicie stworzyłeś ... skrót do tego pliku: [2012-10-10 17:11:55 | 000,001,324 | ---- | M] () -- C:\Documents and Settings\norbi i mrzena\Pulpit\Skrót do prefs.js.lnk 1. Firefox: Powtarzaj operację resetu preferencji. Zamknij Firefox (nie może być w procesach), następnie całkowicie przenieś na Pulpit plik: C:\Documents and Settings\norbi i mrzena\Dane aplikacji\Mozilla\Firefox\Profiles\1ierm8am.default\prefs.js Następnie uruchom ponownie przeglądarkę, a stworzy ona nowy czysty prefs.js. 2. Internet Explorer: AdwCleaner uszkodził dostawców wyszukiwania. Rekonstrukcja. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Live Search" "DisplayName"="@ieframe.dll,-12512" "URL"="http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "DownloadRetries"=dword:00000000 "DownloadUpdates"=dword:00000001 "Version"=dword:00000002 "UpgradeTime"=hex:a0,07,fa,8f,d5,96,cd,01 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] "SuggestionsURLFallback"="http://api.bing.com/qsml.aspx?query={searchTerms}&maxwidth={ie:maxWidth}&rowheight={ie:rowHeight}§ionHeight={ie:sectionHeight}&FORM=IE8SSC&market={language}" "FaviconURLFallback"="http://www.bing.com/favicon.ico" "URL"="http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC" "FaviconPath"="C:\\Documents and Settings\\norbi i mrzena\\Ustawienia lokalne\\Dane aplikacji\\Microsoft\\Internet Explorer\\Services\\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico" "DisplayName"="Bing" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ROC_ROC_NT"=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 3. Google Chrome: wycinanie wtyczki Babylon jest bardziej finezyjne i wymaga bezpośredniej edycji pliku Preferences przeglądarki, a skoro miałeś już problem z tak banalną sprawą jak opcje przeglądarki, to już wolę to zedytować za Ciebie. Zamknij Google Chrome, skopiuj na Pulpit ten plik: C:\Documents and Settings\norbi i mrzena\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences Plik spakuj do ZIP, shostuj gdzieś i podaj mi link do tego. . Edytowane 9 Listopada 2012 przez picasso 9.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi